ISO27k SOA 2013 in 5 Languages
ISO27k SOA 2013 in 5 Languages
ISO27k SOA 2013 in 5 Languages
Originally contributed to the ISO27k Toolkit by Richard O. Regalado, Information Security Consultant
Updated for the 2013 release of the standards and translated into Spanish by White Hat Consultores: Decembe
Control numbering and text corrected: April/July 2015
German version contributed by Comma Soft AG: August 2015
French version contributed by Bachir Benyammi: July 2016 & updated by Laurent Legastelois: August 2017, upd
Portuguese version contributed by Jansen Cesar Arruda: November 2017
This is a template or skeleton SOA based on Annex A of ISO/IEC 27001:2013. It is a starting point for use in ISO2
- this is just one way to do it. Feel free to customize or adapt the template to suit your unique circumstances, sp
Please consult the ISO/IEC 27000-series standards for more detail about the controls listed herein, and about th
manage them. This SoA alone is woefully inadequate. While Annex A of ISO/IEC 27001 briefly names the contro
useful implementation notes. ISO/IEC 27005 explains how to identify, assess and decide how to treat your infor
reduce information risks by implementing security controls (e.g. some may be avoided, accepted or shared thro
or alternative controls, other than those listed here, and some may be imposed upon you in laws, regulations, c
Speak to your certification auditors or ISO27k advisors for further advice, or ask the ISO27k Forum.
Copyright
This work is copyright © 2018, ISO27k Forum, some rights reserved. It is licensed under the Creative Commons
welcome to reproduce, circulate, use and create derivative works from this provided that (a) it is not sold or inc
(b) it is properly attributed to the ISO27k Forum at www.ISO27001security.com, and (c) if they are published or
as this.
The copyright in parts of this document belong to ISO/IEC. They own the standards! We are reliant on the fair u
to reproduce a small part of their content here, encouraging widespread adoption of the ISO27k standards.
Statement of Applicability
Legend (for Selected Controls and Reasons for controls selection)
LR: legal requirements,CO: contractual obligations,BR/BP: business requirements/adopted best practices,RRA:
Controles
ISO 27001:2013 Controles de Seguridad actuales
8 Gestión de
Activos
8.2 Clasificación de la información
8 Gestión de 8.2.1
Activos Clasificación de la información
8.2.2 Etiquetado de la información
8.2.3 Manejo de activos
8.3 Manejo de medios
8.3.1 Gestión de medios removibles
8.3.2 Eliminación de medios
8.3.3 Transporte de medios físicos
15.1
Seguridad de la información en relaciones con el proveedor
15.1.1 Política de seguridad de la información en las relaciones
con el proveedor
16.1.6
Aprendizaje de incidentes de seguridad de la información
16.1.7 Colección de evidencia
18.1
Cumplimiento con Requerimientos Legales y Contractuales
18.1.1 Identificación de legislación aplicable y requerimientos
contractuales
18.1.2 Derechos de propiedad intelectual (IPR)
18.1.3 Protección de registros
18 Cumplimiento 18.1.4 Privacidad y protección de información personal
identificable (PIR)
18.1.5 Regulación de controles criptográficos
18.2 Revisiones de seguridad de la información
18.2.1
Revisión independiente de seguridad de la información
18.2.2 Cumplimiento con políticas y estándares de seguridad
18.2.3 Revisión del cumplimiento técnico
Vigente para el: dd/mm/aaaa
11.1 Sicherheitsbereiche
11.1.1 Physische Sicherheitsperimeter
11.1.2 Physische Zutrittssteuerung
11.1.3 Sichern von Büros, Räumen und Einrichtungen
11.1.4 Schutz vor externen und umweltbedingten Bedrohungen
11.1.5 Arbeiten in Sicherheitsbereichen
11.1.6 Anlieferungs- und Ladebereiche
11.2 Geräte und Betriebsmittel
11.2.1 Platzierung und Schutz von Geräten und Betriebsmitteln
11 Physische und 11.2.2 Versorgungseinrichtungen
umgebungsbezoge
ne Sicherheit 11.2.3 Sicherheit der Verkabelung
11.2.4 Instandhaltung von Geräten und Betriebsmitteln
11.2.5 Entfernen von Werten
11.2.6 Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb
der Räumlichkeiten
11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten und
Betriebsmitteln
11.2.8 Unbeaufsichtigte Benutzergeräte
11.2.9 Richtlinie für eine aufgeräumte Arbeitsumgebung und
Bildschirmsperren
13.1 Netzwerksicherheitsmanagement
13.1.1 Netzwerksteuerungsmaßnahmen
13.1.2 Sicherheit von Netzwerkdiensten
13 13.1.3 Trennung in Netzwerken
Kommunikationssi 13.2 Informationsübertragung
cherheit 13.2.1 Richtlinien und Verfahren zur Informationsübertragung
13.2.2 Vereinbarungen zur Informationsübertragung
13.2.3 Elektronische Nachrichtenübermittlung
13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
meilleures pratiques adoptées,RRA: résultats d’appréciation des risques,TSE: jusqu'à un certain point
Controles
ISO 27001:2013 Controles de Segurança atuais
14.1
Requisitos de segurança de sistemas de informação
14.1.1 Análise e especificação dos requisitos de segurança
da informação
14.1.2 Serviços de aplicação seguros em redes públicas
14.1.3
Protegendo as transações nos aplicativos de serviços
14.2 Segurança em processos de desenvolvimento e de
suporte
14.2.1 Política de desenvolvimento seguro
14 Aquisição, 14.2.2 Procedimentos para controle de mudanças de
desenvolvimento e sistemas
manutenção de sistemas
14.2.3 Análise crítica técnica das aplicações após mudanças
nas plataformas operacionais
14.2.4
Restrições sobre mudanças em pacotes de Software
14.2.5 Princípios para projetar sistemas seguros
14.2.6 Ambiente seguro para desenvolvimento
14.2.7 Desenvolvimento terceirizado
14.2.8 Teste de segurança do sistema
14.2.9 Teste de aceitação de sistemas
14.3 Dados para teste
14.3.1 Proteção dos dados para teste
16.1.5
Resposta aos incidentes de segurança da informação
16.1.6 Aprendendo com os incidentes de segurança da
informação
16.1.7 Coleta de evidências